Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets

Este guia de referência técnica fornece a gestores de TI, arquitetos de rede e CTOs passos acionáveis para implementar a autenticação WiFi 802.1X baseada em certificados para frotas de dispositivos Apple utilizando o Jamf Pro e RADIUS. Abrange todo o fluxo de trabalho de provisionamento de certificados SCEP, a estrutura do perfil de configuração de WiFi, os requisitos de integração RADIUS e cenários de implementação do mundo real em ambientes de saúde e empresariais. O guia é essencial para qualquer organização que pretenda eliminar vulnerabilidades de WiFi baseadas em palavras-passe, reduzir a carga de trabalho do suporte técnico e alcançar a conformidade com as normas de acesso à rede PCI DSS e GDPR.

📖 9 min de leitura📝 2,102 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos mergulhar num tema de infraestrutura crítico para ambientes empresariais Apple: a implementação de autenticação WiFi baseada em certificados utilizando o Jamf Pro e o RADIUS.

Se é um gestor de TI, arquiteto de rede ou diretor de operações de instalações, conhece bem a dor do WiFi baseado em palavras-passe. Os utilizadores alteram as suas palavras-passe do Active Directory e, de repente, os seus iPhones, iPads e MacBooks perdem a ligação à rede. Os pedidos de suporte aumentam exponencialmente. A segurança fica comprometida porque as palavras-passe podem ser partilhadas, alvo de phishing ou interceptadas.

A solução de nível empresarial é o 802.1X EAP-TLS. Ou seja, autenticação baseada em certificados. Sem palavras-passe. O dispositivo autentica-se a si próprio utilizando um certificado criptográfico. E quando está a gerir uma frota de dispositivos Apple, a forma padrão do setor para implementar esses certificados e as respetivas configurações de WiFi é através de Mobile Device Management — especificamente o Jamf Pro.

Vamos detalhar a arquitetura. Na periferia (edge), tem os seus Access Points empresariais. Por trás deles, o seu servidor RADIUS — talvez FreeRADIUS, Cisco ISE ou Microsoft NPS. E a gerir os dispositivos, tem o Jamf Pro.

A magia acontece através de um protocolo chamado SCEP — Simple Certificate Enrollment Protocol. O SCEP permite ao Jamf dizer a um dispositivo Apple: comunica com esta Autoridade de Certificação e obtém um certificado exclusivo para ti.

Eis o fluxo passo a passo. Primeiro, configura um Perfil de Configuração no Jamf Pro. Este perfil contém dois payloads cruciais. O primeiro é o payload SCEP. Este indica ao dispositivo macOS ou iOS o URL do seu servidor SCEP e fornece uma palavra-passe de desafio dinâmica. O dispositivo gera um Pedido de Assinatura de Certificado — ou CSR — e envia-o para o servidor SCEP. O servidor SCEP valida o desafio, assina o certificado e emite-o de volta para o dispositivo.

Agora o dispositivo tem um certificado exclusivo e vinculado à sua identidade. Mas precisa de saber o que fazer com ele. É aí que entra o segundo payload: o payload de WiFi. No Jamf, configura o payload de WiFi para WPA2 ou WPA3 Enterprise. Seleciona EAP-TLS como o tipo de EAP aceite. E, fundamentalmente, associa este payload de WiFi ao payload SCEP que acabou de criar. Está a dizer ao dispositivo: quando te ligares ao SSID corporativo, utiliza o certificado que obtiveste deste processo SCEP para te autenticares.

Quando o utilizador entra no escritório, o MacBook deteta o SSID. Inicia uma ligação 802.1X. O Access Point encaminha o pedido para o servidor RADIUS. O servidor RADIUS e o MacBook trocam certificados para estabelecer uma relação de confiança mútua. O servidor RADIUS valida o certificado do MacBook face à Autoridade de Certificação. Se for válido, não revogado e estiver em conformidade com as políticas exigidas, o servidor RADIUS envia uma mensagem de Access-Accept para o Access Point e o dispositivo acede à rede. De forma transparente. Com zero interação do utilizador.

Vamos falar sobre as armadilhas de implementação. O problema número um que vemos são as falhas na cadeia de fidedignidade dos certificados. Para que o EAP-TLS funcione, o dispositivo Apple tem de confiar no certificado do servidor RADIUS, e o servidor RADIUS tem de confiar no certificado do dispositivo. No seu perfil de WiFi do Jamf, deve definir explicitamente os nomes dos certificados de servidor fidedignos e incluir o certificado Root CA no perfil. Se falhar isto, o iOS e o macOS irão falhar silenciosamente a ligação, ou solicitar ao utilizador que confie manualmente no certificado — o que anula todo o propósito da implementação de MDM.

Outra armadilha comum é o desafio de inscrição inicial do SCEP. Se o dispositivo estiver a tentar obter o seu certificado SCEP através da própria rede WiFi que necessita de aceder para obter o certificado, tem um problema do tipo "ovo ou a galinha". Precisa de uma rede de ativação, ou os dispositivos precisam de receber os seus perfis via Ethernet ou dados móveis antes de acederem ao WiFi corporativo.

Agora, vejamos um cenário do mundo real. Uma grande rede hospitalar estava a implementar cinco mil iPads para pessoal clínico. Estavam a utilizar PEAP com nomes de utilizador e palavras-passe. A cada noventa dias, as palavras-passe do Active Directory expiravam. Na manhã seguinte à expiração, centenas de enfermeiros não conseguiam aceder aos registos dos doentes porque os seus iPads perdiam a ligação ao WiFi. Ao passarem para SCEP e EAP-TLS geridos pelo Jamf, eliminaram completamente as rotações de palavras-passe para acesso à rede. Os certificados eram válidos por um ano, e o Jamf renovava-os automaticamente a trinta dias do fim através de SCEP. Os pedidos de suporte ao helpdesk relativos ao WiFi diminuíram oitenta e cinco por cento.

Deixe-me dar-lhe as perguntas e respostas rápidas. Pergunta: Posso utilizar PEAP com o Jamf em vez de EAP-TLS? Tecnicamente sim, mas perde o principal benefício da autenticação sem palavra-passe. O EAP-TLS é o padrão recomendado. Pergunta: Preciso de uma CA interna ou posso utilizar uma CA pública? Para a autenticação RADIUS, recomenda-se vivamente uma CA interna porque controla a emissão e revogação dos certificados dos dispositivos. Pergunta: O que acontece quando um dispositivo é desvinculado do Jamf? O certificado deve ser revogado ao nível da CA, e o servidor RADIUS deve verificar a Lista de Revogação de Certificados para recusar o acesso.

Então, quais são as principais conclusões? Primeiro: afaste-se do PEAP e das palavras-passe. O EAP-TLS é o padrão de excelência para frotas Apple. Segundo: aproveite as cargas dinâmicas SCEP do Jamf Pro para emitir certificados únicos vinculados ao dispositivo sem intervenção manual. Terceiro: garanta que as suas cadeias de fidedignidade de certificados estão explicitamente definidas nos seus perfis de configuração para evitar falhas silenciosas. Quarto: planeie a sua rede de ativação com cuidado — os dispositivos precisam de um caminho para o servidor SCEP antes de se poderem ligar ao WiFi seguro. E quinto: utilize certificados baseados no dispositivo para hardware partilhado, e certificados baseados no utilizador para implementações individuais.

Esta é a nossa análise técnica aprofundada sobre o Jamf e o RADIUS por hoje. Para etapas de configuração mais detalhadas e diagramas de arquitetura, consulte o guia escrito completo na plataforma Purple. Obrigado por nos ouvir.

Principais Conclusões

✓O EAP-TLS é o padrão de excelência para a autenticação WiFi empresarial — elimina totalmente as palavras-passe e exige que tanto o dispositivo como o servidor RADIUS provem a sua identidade através de certificados digitais.
✓O Jamf Pro automatiza a distribuição de certificados para frotas Apple à escala utilizando o protocolo SCEP, com palavras-passe de desafio dinâmicas por dispositivo que garantem que apenas os dispositivos geridos se podem registar.
✓Uma implementação bem-sucedida do Jamf WiFi requer dois payloads interligados num único Perfil de Configuração: um payload SCEP para obter o certificado e um payload WiFi que referencia esse certificado como identidade.
✓A falha de implementação mais comum é uma cadeia de fidedignidade de certificados incompleta — o perfil Jamf WiFi tem de incluir explicitamente a CA Raiz e especificar o CN do servidor RADIUS no campo Nomes de Certificados de Servidor Fidedignos.
✓Os certificados baseados em dispositivos (SAN = endereço MAC) são essenciais para hardware partilhado, garantindo a conectividade de rede no arranque antes de qualquer utilizador iniciar sessão.
✓Planeie cuidadosamente a rede de integração — os dispositivos precisam de um caminho de rede para o servidor SCEP antes de poderem receber o seu certificado e aderir ao SSID 802.1X seguro.
✓A renovação automática de certificados (configurada para 30 dias antes da expiração) e a revogação imediata aquando do desaninhamento do dispositivo são requisitos operacionais não negociáveis para uma implementação segura e resiliente.

Resumo Executivo

Gerir o acesso WiFi seguro para uma frota de dispositivos Apple num ambiente empresarial apresenta um desafio operacional e de segurança significativo quando se depende da autenticação tradicional baseada em palavra-passe. Os utilizadores alteram as suas credenciais do Active Directory e, de imediato, os seus iPhones, iPads e MacBooks perdem a ligação à rede — gerando pedidos de suporte, interrompendo fluxos de trabalho e expondo a organização a ataques baseados em credenciais.

Para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público, a solução é a autenticação 802.1X baseada em certificados utilizando EAP-TLS. Ao potenciar o Jamf Pro para distribuir certificados criptográficos únicos via SCEP (Simple Certificate Enrollment Protocol) e integrando com um servidor RADIUS, as organizações podem alcançar um acesso WiFi seamlessly, sem palavra-passe, para todos os dispositivos Apple geridos. Este guia fornece uma abordagem prática e neutra em termos de fornecedor para implementar a autenticação de WiFi por certificado Jamf RADIUS, garantindo uma segurança robusta, conformidade com normas como PCI DSS e GDPR, e uma redução mensurável nos custos de suporte.

Análise Técnica Detalhada

A Arquitetura 802.1X EAP-TLS

A base da autenticação WiFi baseada em certificados é a norma IEEE 802.1X combinada com o protocolo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Para uma introdução detalhada sobre a própria norma 802.1X, consulte o nosso guia sobre Autenticação 802.1X: Proteger o Acesso à Rede em Dispositivos Modernos .

Ao contrário do PEAP (Protected EAP), que depende de um nome de utilizador e palavra-passe, o EAP-TLS exige que tanto o dispositivo cliente como o servidor de autenticação provem as suas identidades utilizando certificados digitais. Esta autenticação mútua é o que torna o EAP-TLS o padrão de excelência para implementações empresariais. O modelo de três partes consiste nos seguintes componentes.

Componente	Função	Exemplos
Suplicante	O dispositivo Apple que solicita acesso à rede	MacBook, iPhone, iPad
Autenticador	O dispositivo de fronteira da rede que aplica o controlo de acesso	Ponto de Acesso WiFi, WLC
Servidor de Autenticação	Valida certificados e autoriza o acesso	FreeRADIUS, Cisco ISE, Microsoft NPS

O Ponto de Acesso funciona como um guardião, bloqueando todo o tráfego até que o servidor RADIUS envie uma mensagem Access-Accept. Este é o cerne do modelo de Controlo de Acesso à Rede baseado em porta (PNAC) do IEEE 802.1X.

SCEP e Jamf Pro: Distribuição de Certificados Escalável

The challenge with EAP-TLS at scale is certificate distribution. Manually installing a unique certificate on 500 iPads is not a viable operation. This is where the Jamf Pro and SCEP Jamf integration becomes the critical enabler.

SCEP (Simple Certificate Enrollment Protocol) is a lightweight protocol that allows a device to automatically request and receive a signed certificate from a Certificate Authority (CA). Jamf Pro acts as the orchestrator, pushing a Configuration Profile to each Apple device. This profile contains a SCEP payload that instructs the device to contact the SCEP server, provides a dynamic challenge password, and specifies the required certificate attributes — such as the Subject Alternative Name (SAN), which is typically mapped to the device's MAC address or serial number.

The dynamic challenge password mechanism is particularly important. In a Jamf-integrated SCEP deployment, Jamf generates a unique, single-use challenge password for each device. This ensures that only devices enrolled in Jamf Pro — and therefore corporately managed — can successfully obtain a certificate from the CA. This is a critical security control that prevents rogue devices from enrolling.

RADIUS Attributes for Apple Device Authentication

When the RADIUS server receives an Access-Request from the Access Point, it evaluates several attributes to make its authorisation decision. For Apple 802.1X deployments, the most relevant RADIUS attributes are as follows.

RADIUS Attribute	Description	Apple Relevance
`User-Name` (Attr 1)	A identidade apresentada pelo suplicante	Normalmente o Subject CN ou SAN do certificado
`NAS-IP-Address` (Attr 4)	O IP do Access Point	Utilizado para políticas específicas de AP
`Called-Station-Id` (Attr 30)	O BSSID e SSID do AP	Permite a aplicação de políticas baseadas em SSID
`EAP-Message` (Attr 79)	O pacote EAP encapsulado	Contém os dados de handshake TLS
`Tunnel-Type` (Attr 64)	Especifica o tipo de atribuição de VLAN	Utilizado para atribuição dinâmica de VLAN pós-autenticação
`Tunnel-Medium-Type` (Attr 65)	Especifica o meio para o túnel	Necessário para marcação de VLAN 802.1Q
`Tunnel-Private-Group-Id` (Attr 81)	O ID da VLAN a atribuir	Permite a segmentação de rede baseada em funções

O atributo Tunnel-Private-Group-Id é particularmente poderoso em implementações empresariais. Ao retornar diferentes IDs de VLAN com base nos atributos do certificado (por exemplo, departamento, tipo de dispositivo), o servidor RADIUS pode segmentar a rede de forma dinâmica sem necessitar de SSIDs separados.

Implementation Guide

A implementação da autenticação Wi-Fi por certificado em dispositivos Apple através do Jamf Pro segue uma sequência estruturada. O desvio desta ordem é a principal causa de falhas na implementação.

Step 1: Establish Your Certificate Authority Infrastructure

Antes de mexer no Jamf, a sua infraestrutura de CA deve estar implementada. Para ambientes Microsoft, trata-se normalmente dos Serviços de Certificados do Active Directory (AD CS) com a função Network Device Enrollment Service (NDES), que atua como o servidor SCEP. Para ambientes não Microsoft, as opções incluem EJBCA, HashiCorp Vault PKI ou CAs baseadas na nuvem, como o AWS Private CA.

Certifique-se de que a sua hierarquia de CA é clara: uma Root CA que é mantida offline e uma ou mais Issuing CAs que assinam os certificados dos dispositivos. O servidor RADIUS necessitará do seu próprio certificado assinado por esta mesma hierarquia de CA.

Passo 2: Configurar o Payload SCEP no Jamf Pro

Navegue até Computers (ou Mobile Devices) > Configuration Profiles > New. Adicione um payload Certificate e selecione SCEP como a origem do certificado. Os campos críticos são os seguintes.

URL: O endpoint SCEP (ex.: http://ndes.oseudominio.com/certsrv/mscep/mscep.dll).
Name: Um nome descritivo que irá aparecer no Keychain do dispositivo.
Subject: O Distinguished Name do certificado. Utilize variáveis do Jamf, tais como CN=$COMPUTERNAME para computadores ou CN=$JSSID para dispositivos móveis.
Subject Alternative Name (SAN): Defina o Tipo de SAN para RFC 822 Name com o valor $MACADDRESS@oseudominio.com, ou DNS Name com $COMPUTERNAME.oseudominio.com. Isto é o que o servidor RADIUS lerá para identificar o dispositivo.
Challenge Type: Selecione Dynamic para utilizar o proxy SCEP integrado do Jamf, que gera palavras-passe de desafio por dispositivo.
Key Size: Mínimo de RSA de 2048 bits. Recomenda-se 4096 bits para novas implementações.
Key Usage: Ative tanto Signing como Encryption.

Passo 3: Configurar o Payload de WiFi

No mesmo Configuration Profile, adicione um payload de Wi-Fi. As definições principais para Apple 802.1X são as seguintes.

SSID: O nome exato do seu SSID empresarial seguro.
Security Type: WPA2 Enterprise ou WPA3 Enterprise (recomendado onde o hardware o suporte).
Protocols — Accepted EAP Types: Selecione apenas TLS. Desmarque PEAP, TTLS e todos os outros tipos para impor exclusivamente o EAP-TLS.
Authentication — Identity Certificate: Selecione o payload SCEP que criou no Passo 2. Esta é a ligação crítica entre o certificado e a ligação WiFi.
Trust — Trusted Server Certificate Names: Introduza o Common Name (CN) exato do certificado do seu servidor RADIUS (ex.: radius.oseudominio.com). Este é o item de configuração mais frequentemente esquecido.
Trust — Trusted Certificates: Transfira a Root CA e quaisquer certificados de CA Intermédia que tenham assinado o certificado do servidor RADIUS.

Passo 4: Configurar o Servidor RADIUS

No seu servidor RADIUS, crie uma política de rede que corresponda aos atributos do certificado que definiu no Jamf. Para o NPS da Microsoft, isto significa criar uma Connection Request Policy que corresponda ao SSID através do atributo Called-Station-Id, e uma Network Policy que valide o certificado em relação à sua CA e, opcionalmente, atribua uma VLAN através dos atributos de Tunnel. Para FreeRADIUS, configure o módulo eap para utilizar tls e aponte para o seu certificado de CA, certificado de servidor e chave privada. O ficheiro users ou backend SQL deve ser configurado para fazer corresponder o SAN do certificado com o inventário do seu dispositivo.

Passo 5: Definir o Âmbito e Implementar o Perfil

No Jamf Pro, defina o âmbito do Perfil de Configuração para os grupos de dispositivos apropriados — por exemplo, todos os dispositivos no Smart Group "Frota Corporativa". O perfil será enviado automaticamente via MDM. Os dispositivos que estiverem online irão recebê-lo em minutos; os dispositivos que estiverem offline irão recebê-lo na próxima vez que se ligarem.

Melhores Práticas

Implemente WPA3 Enterprise sempre que possível. O WPA3 Enterprise com modo de 192 bits proporciona uma força criptográfica melhorada utilizando GCMP-256 e HMAC-SHA-384, oferecendo uma proteção significativamente mais forte do que o WPA2 Enterprise. Para ambientes de Hotelaria e organizações de Saúde que lidam com dados sensíveis, esta atualização é cada vez mais um requisito de conformidade em vez de apenas uma melhor prática.

Aproveite os certificados baseados no dispositivo para hardware partilhado. Para dispositivos partilhados — tais como iPads de ponto de venda no retalho, tablets de concierge de hotéis ou dispositivos clínicos — utilize certificados vinculados ao dispositivo em vez de certificados vinculados ao utilizador. Isto garante que o dispositivo se liga à rede no arranque, antes de qualquer utilizador iniciar sessão, permitindo que as comunicações de MDM, atualizações de aplicações e notificações push funcionem corretamente. Esta é uma consideração crítica para implementações no Retalho , onde os dispositivos podem ser partilhados entre turnos.

Integre o acesso à rede com a sua postura de segurança mais ampla. Enquanto a equipa utiliza o 802.1X para acesso interno seguro, certifique-se de que as suas redes públicas são geridas através de uma solução robusta de Guest WiFi para manter uma separação clara de tráfego. Combinar a autenticação de funcionários baseada em certificados com o WiFi Analytics proporciona total visibilidade sobre o comportamento dos dispositivos autenticados e a atividade da rede de convidados.

Automatize a renovação de certificados. Configure o payload SCEP no Jamf para acionar a renovação automática quando um certificado estiver a 14 ou 30 dias de expirar. Isto evita o cenário em que um dispositivo perde silenciosamente o acesso à rede porque o seu certificado expirou durante a noite. No Jamf Pro, isto é controlado através da definição Renewal Threshold no payload SCEP.

Mantenha uma Lista de Revogação de Certificados (CRL) ou um respondedor OCSP. Quando um dispositivo é desativado, roubado ou desassociado do Jamf, o seu certificado deve ser revogado ao nível da CA. Configure o seu servidor RADIUS para verificar o endpoint da CRL ou OCSP em cada tentativa de autenticação. Sem isto, um dispositivo roubado com um certificado válido ainda poderá autenticar-se na rede. For further context on modern network infrastructure decisions, the The Core SD WAN Benefits for Modern Businesses guide provides useful context on how certificate-based authentication integrates with SD-WAN overlay architectures.

Troubleshooting & Risk Mitigation

The Chicken-and-Egg Provisioning Problem. Devices need a network connection to reach the SCEP server and download their certificate, but they need the certificate to join the secure WiFi. This is the most common deployment blocker. The recommended mitigation strategies are: provisioning via Ethernet using USB-C or Lightning to Ethernet adapters; using cellular data on iPhones and cellular-capable iPads; or creating a temporary, restricted onboarding SSID with firewall rules that permit only SCEP and MDM traffic.

Silent EAP-TLS Failures on macOS. If the trust chain is incomplete, macOS may silently fail to connect without displaying a meaningful error in the UI. The only indication is in the system log. Use log stream --predicate 'subsystem == "com.apple.network"' to capture real-time authentication events. Always verify that the Trusted Server Certificate Names array in the Jamf profile exactly matches the CN in the RADIUS server's certificate.

RADIUS Timeout During High-Load Events. In environments such as stadiums or conference centres, simultaneous authentication requests from hundreds of devices can overwhelm the RADIUS server. Mitigate this by deploying RADIUS in a high-availability pair, tuning the max_requests parameter in FreeRADIUS, and ensuring the RADIUS server has sufficient CPU and memory for the expected concurrent authentication load. For large-scale venue deployments, review our guidance on Wireless Access Points Definition Your Ultimate 2026 Guide for capacity planning considerations.

Certificate Attribute Mismatch. If the SAN in the device certificate does not match what the RADIUS Network Policy expects, authentication will fail. This is particularly common when migrating from one CA to another, or when Jamf variables resolve differently than expected. Always test with a single device and inspect the RADIUS server logs to confirm the exact identity string being presented before rolling out to the full fleet.

ROI and Business Impact

Transitioning to Jamf RADIUS WiFi certificate authentication delivers measurable business value across several dimensions.

Metric	Typical Outcome
Helpdesk ticket reduction	60–85% reduction in WiFi-related support requests
Onboarding time per device	Reduced from 15–30 minutes to under 2 minutes (zero-touch)
Security incident risk	Near-elimination of credential-based WiFi attacks
Compliance posture	Meets PCI DSS Requirement 1.3 and GDPR Article 32 network controls
Certificate lifecycle	Automated renewal eliminates manual certificate management

O principal fator de ROI é a eliminação de interrupções por rotação de palavras-passe. Numa frota de 500 dispositivos onde 10% dos dispositivos perdem a ligação à rede em cada trimestre devido a alterações de palavra-passe, e cada incidente requer 20 minutos de tempo de TI para ser resolvido, a poupança anual em custos de suporte por si só pode justificar o investimento na implementação logo no primeiro ano.

Para operadores de Transport e ambientes de grandes recintos, o caso de negócio é ainda mais reforçado pela capacidade de impor a atribuição dinâmica de VLAN — garantindo que os dispositivos operacionais, os dispositivos dos funcionários e os sistemas de gestão são segmentados automaticamente sem reconfiguração manual da rede.

Definições Principais

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

O método de autenticação 802.1X mais seguro, que exige que tanto o dispositivo cliente como o servidor RADIUS se autentiquem mutuamente utilizando certificados digitais. Nenhuma palavra-passe é partilhada ou transmitida.

Quando as equipas de TI precisam de eliminar o WiFi baseado em palavra-passe e impor uma conformidade rigorosa dos dispositivos, o EAP-TLS é a norma obrigatória. É o único tipo de EAP que fornece autenticação mútua.

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que permite que os dispositivos solicitem de forma segura e automática certificados digitais a uma Autoridade de Certificação através de um mecanismo de desafio-resposta.

Essencial para dimensionar a implementação de certificados via Jamf Pro sem exigir que a equipa de TI instale manualmente certificados em milhares de dispositivos. O proxy SCEP dinâmico do Jamf gera palavras-passe de desafio por dispositivo.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Monitorização (AAA) para dispositivos que se ligam a um serviço de rede.

O motor de decisão central que indica ao Ponto de Acesso WiFi se um dispositivo gerido pelo Jamf tem permissão para aceder à rede e, opcionalmente, qual a VLAN a atribuir.

Perfil de Configuração

Um ficheiro XML (.mobileconfig) implementado pelo Jamf Pro que contém uma ou mais cargas úteis para gerir definições em dispositivos Apple, incluindo certificados, WiFi, VPN e restrições.

Este é o veículo utilizado para aplicar as definições SCEP, a configuração do SSID de WiFi e a cadeia de fidedignidade de certificados no iPhone, iPad ou Mac.

CSR (Certificate Signing Request)

Um bloco de texto codificado gerado pelo dispositivo Apple contendo a chave pública e informações de identidade, enviado à Autoridade de Certificação para solicitar um certificado digital assinado.

O primeiro passo no processo SCEP. O dispositivo gera o CSR localmente, garantindo que a chave privada nunca sai do dispositivo — um princípio fundamental da segurança PKI.

Subject Alternative Name (SAN)

Uma extensão de um certificado X.509 que permite associar múltiplos valores de identidade ao certificado, tais como endereços de e-mail, nomes de DNS, endereços IP ou endereços MAC.

Crucial para a autenticação RADIUS. O servidor RADIUS lê o SAN para identificar o dispositivo ou utilizador. Nas implementações Jamf, o SAN é normalmente definido para o endereço MAC do dispositivo ou o UPN do utilizador.

Root CA (Certificate Authority)

O certificado de topo numa hierarquia PKI, cuja chave privada é utilizada para assinar certificados de CA subordinadas. O certificado Root CA deve ser fidedigno para todas as partes na cadeia de autenticação.

Deve ser implementada em dispositivos Apple via Jamf para que estes confiem nos certificados apresentados pelo servidor RADIUS durante o handshake EAP-TLS. Sem isto, o handshake falha.

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede baseado em portas (PNAC), que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN antes que o acesso à rede seja concedido.

A estrutura abrangente que bloqueia o tráfego de rede no Ponto de Acesso até que o servidor RADIUS valide o certificado disponibilizado pelo Jamf. Toda a segurança de WiFi empresarial é construída sobre esta norma.

Atribuição Dinâmica de VLAN

Uma funcionalidade RADIUS que atribui um dispositivo de ligação a uma VLAN específica com base em atributos de política devolvidos na mensagem Access-Accept, utilizando os atributos RADIUS Tunnel 64, 65 e 81.

Permite a segmentação de rede sem múltiplos SSIDs. Um único SSID corporativo pode colocar automaticamente iPads clínicos na VLAN 20, MacBooks executivos na VLAN 30 e dispositivos de convidados na VLAN 100.

Exemplos Práticos

Um hospital com 500 camas precisa de implementar 1200 iPads partilhados para o pessoal clínico. Atualmente utilizam PEAP com credenciais de Active Directory, o que resulta em centenas de dispositivos desligados a cada 90 dias quando as palavras-passe expiram. Como devem reformular a sua arquitetura de autenticação?

O hospital deve migrar para EAP-TLS utilizando certificados baseados em dispositivos geridos através do Jamf Pro. A implementação envolve quatro passos fundamentais. Primeiro, implementar o AD CS com a função NDES para funcionar como servidor SCEP, emitindo certificados a partir de um modelo de certificado dedicado "Clinical Device". Segundo, configurar um Perfil de Configuração do Jamf com um payload SCEP utilizando $MACADDRESS como o SAN, e um payload WiFi direcionado ao SSID clínico apenas com EAP-TLS, confiando explicitamente no certificado do servidor RADIUS. Terceiro, configurar o Microsoft NPS com uma Política de Rede que corresponda ao modelo de certificado "Clinical Device" e atribua os dispositivos à VLAN Clínica (Tunnel-Private-Group-Id = 20). Quarto, definir o limite de renovação do SCEP para 30 dias para garantir a renovação automática do certificado sem intervenção de TI. Os dispositivos devem ser aprovisionados via Ethernet durante a implementação inicial para resolver o desafio de integração de rede.

Comentário do Examinador: Esta abordagem elimina por completo o problema da rotação de palavras-passe de 90 dias. Ao utilizar certificados baseados em dispositivos em vez de baseados em utilizadores, os iPads permanecem ligados à rede mesmo quando estão num carrinho de carregamento, garantindo que recebem atualizações críticas de MDM e notificações push antes de um médico os recolher. A atribuição dinâmica de VLAN via RADIUS garante que os dispositivos clínicos são colocados automaticamente no segmento de rede correto, cumprindo os requisitos de segmentação de rede HIPAA sem configuração manual.

Uma agência criativa com 300 MacBooks está a mudar-se para um novo escritório. Pretendem um aprovisionamento WiFi zero-touch — os novos MacBooks devem ligar-se automaticamente ao SSID corporativo seguro quando retirados da caixa pelos utilizadores finais nas suas secretárias, sem qualquer intervenção de TI. Como podem alcançar isto?

A agência deve combinar o Apple Automated Device Enrollment (ADE) com o Jamf Pro e um Perfil de Configuração cuidadosamente sequenciado. Durante o Assistente de Configuração do macOS, o MacBook liga-se à internet através de um SSID temporário de integração aberto (restrito por firewall para permitir apenas o tráfego de ativação da Apple, Jamf MDM e SCEP). Este contacta a Apple, reconhece que pertence à agência via ADE e regista-se automaticamente no Jamf Pro. O Jamf Pro envia imediatamente um Perfil de Configuração pré-configurado que contém o payload SCEP e o payload de WiFi corporativo. O registo SCEP é concluído através do SSID de integração, o certificado é instalado no Keychain e o payload de WiFi é ativado. O MacBook transita então automaticamente para o SSID corporativo seguro 802.1X. Do ponto de vista do utilizador, este apenas conclui o Assistente de Configuração e o portátil já está na rede corporativa.

Comentário do Examinador: Este cenário destaca a importância crítica da rede de integração em implementações zero-touch. O payload SCEP e o payload de WiFi devem estar no mesmo Perfil de Configuração e ser associados ao grupo Prestage Enrollment para que sejam enviados imediatamente após o registo no MDM — antes de o utilizador chegar ao ambiente de trabalho. Se o perfil for associado a um Smart Group que exija que o dispositivo esteja totalmente registado primeiro, poderá haver um atraso durante o qual o dispositivo não tem acesso à rede, quebrando a experiência zero-touch.

Perguntas de Prática

Q1. Implementou um Jamf Configuration Profile com um payload SCEP e um payload WiFi em 50 MacBooks. Os certificados SCEP foram instalados com sucesso no Keychain, mas os MacBooks estão a apresentar aos utilizadores uma janela de diálogo "Verify Certificate" ao tentar ligar ao SSID corporativo. Que elemento de configuração está em falta ou incorreto?

Dica: Pense em que informações o dispositivo Apple precisa para confiar automaticamente na identidade do servidor RADIUS sem a interação do utilizador.

Ver resposta modelo

O payload WiFi no Jamf Configuration Profile não tem a entrada "Trusted Server Certificate Names" (que deve corresponder exatamente ao CN no certificado do servidor RADIUS), ou os certificados Root CA e Intermediate CA que assinaram o certificado do servidor RADIUS não estão incluídos no payload Trust do perfil. Sem a confiança explícita definida pelo MDM, o macOS e o iOS exigem que o utilizador verifique e aceite manualmente o certificado do servidor RADIUS durante o handshake EAP-TLS. Ambos os campos devem ser preenchidos: a matriz Trusted Certificates (que contém a cadeia de CA) e a matriz Trusted Server Certificate Names (que contém o CN do servidor RADIUS).

Q2. Uma cadeia de retalho quer que os iPads dos seus pontos de venda se liguem ao WiFi corporativo seguro imediatamente após o arranque, antes de qualquer funcionário iniciar sessão na aplicação POS. A implementação atual utiliza certificados de utilizador associados a UPNs individuais dos funcionários. Os dispositivos falham frequentemente a ligação no início de um turno. Qual é a causa raiz e qual é a alteração arquitetónica correta?

Dica: Considere quando diferentes tipos de certificados ficam disponíveis para a pilha de rede iOS em relação ao ciclo de vida de autenticação do utilizador.

Ver resposta modelo

A causa raiz é que os certificados de utilizador (associados a um UPN) são armazenados no keychain do utilizador e só ficam acessíveis após o utilizador se autenticar no dispositivo. No arranque ou no ecrã de bloqueio do iOS, o keychain do utilizador está bloqueado, pelo que a pilha WiFi não consegue aceder ao certificado para realizar o EAP-TLS. A alteração arquitetónica correta é mudar para certificados de dispositivo, onde o SAN é definido para o endereço MAC ou número de série do dispositivo. Os certificados de dispositivo são armazenados no keychain do sistema, que está acessível no arranque antes de qualquer utilizador iniciar sessão. A Política de Rede RADIUS deve ser atualizada para corresponder aos certificados de dispositivo em vez dos certificados de utilizador, e o payload Jamf SCEP deve ser atualizado para utilizar variáveis ao nível do dispositivo, tais como $MACADDRESS ou $SERIALNUMBER como o SAN.

Q3. A sua organização utiliza o Microsoft NPS como servidor RADIUS. Está a configurar um novo payload Jamf SCEP para 200 MacBooks. A Política de Rede NPS está configurada para exigir que o Subject Alternative Name do certificado corresponda a uma conta de computador no Active Directory. Que valor de SAN deve configurar no payload Jamf SCEP e que formato o NPS espera?

Dica: A autenticação de certificado de computador NPS exige que o SAN corresponda à identidade do computador no Active Directory num formato específico.

Ver resposta modelo

Para a autenticação de certificado de computador NPS, o SAN deve ser definido para o tipo DNS Name com o valor $COMPUTERNAME.yourdomain.com (utilizando a variável Jamf para o hostname do computador). O NPS espera que o SAN DNS Name corresponda ao fully qualified domain name (FQDN) do computador tal como aparece no Active Directory. Em alternativa, se utilizar o tipo de SAN User Principal Name, o formato deve ser host/$ COMPUTERNAME@YOURDOMAIN.COM . A condição da Política de Rede NPS deve ser definida para corresponder ao atributo "Client Certificate SAN". Certifique-se de que os MacBooks estão associados ao Active Directory, ou que os nomes dos computadores no Jamf correspondem aos objetos de computador no AD, caso contrário, a consulta NPS falhará mesmo que o certificado seja válido.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.